# 邮件钓鱼免杀完全指南（2026 实战版）・
三、绕过 SPF/DKIM/DMARC 邮件认证

**发布时间**：2026 年 05 月 17 日 21:47

**作者**：IceByte

**公众号**：IceByte-Sec

## 系列说明

本文是《邮件钓鱼免杀完全指南（2026 实战版）》系列第三篇，上篇完成 OSINT 信息收集，本篇详解 SPF/DKIM/DMARC 绕过手法，以及 2025-2026 年新型绕过技术。

* * *

## 前言：为什么邮件认证可以被绕过？

SPF、DKIM、DMARC 被称为邮件安全 “三驾马车”，理论可拦截所有伪造发件人邮件，但现实中：

*   71% 企业域名未正确配置 SPF（2026 年 APWG 报告）
*   68% 企业未部署 DKIM 签名
*   启用 DMARC `p=reject`的企业仅 39%
*   即使配置完整，仍有 17 种已知绕过手法

**根本原因**：邮件认证依赖域名管理员配置正确性与完整性，人为配置失误是核心漏洞。

* * *

## 一、SPF（Sender Policy Framework）机制与绕过

### 1.1 SPF 工作原理

SPF 通过 DNS TXT 记录声明**允许代表本域名发信的 IP 地址**。

**验证流程**：

1.  发件人：attacker@victim.com
2.  接收服务器查询[victim.com](https://victim.com "autolink")的 SPF 记录
3.  检查发件 IP 是否在允许列表
4.  在列表→SPF Pass；不在→SPF Fail，按 DMARC 策略处理

**SPF 记录核心语法**：

*   限定符：`+`(通过)、`-`(拒绝)、`~`(软失败)、`?`(中立)
*   机制：`ip4`/`ip6`、`a`/`mx`、`include`、`redirect`、`exists`

### 1.2 常见 SPF 配置错误

1.  **`~all`而非`-all`**
    
    *   错误：`v=spf1 include:spf.protection.outlook.com ~all`（仅标记不拒绝）
    *   正确：`v=spf1 include:spf.protection.outlook.com -all`（硬拒绝）
    
2.  **DNS 查询超 10 次限制**
    
    嵌套`include`过多触发`PermError`，服务器跳过 SPF 验证。
3.  **`redirect=`与`include:`混淆**
    
    *   `redirect=`：替换整个 SPF 记录
    *   `include:`：引入其他 SPF 记录，不替换

### 1.3 SPF 绕过手法

![](/media/202605/8ea0e4da981c4ca1ba027d762a4f8fc78538.png)

## 二、DKIM（DomainKeys Identified Mail）机制与绕过

### 2.1 DKIM 工作原理

DKIM 用非对称加密（RSA/ED25519）对邮件签名，接收方通过 DNS 公钥验证。

**验证流程**：

1.  发送方用私钥签名邮件头 + 正文
2.  签名放入`DKIM-Signature`头
3.  接收方提取签名，查询 DNS 公钥验证
4.  检查签名覆盖关键字段（From、Subject 等）

**DKIM-Signature 核心标签**：

*   `d=`：签名域名；`s=`：选择器；`h=`：被签名头字段
*   `a=`：算法（rsa-sha1 已不安全）；`c=`：规范化算法

### 2.2 DKIM 绕过手法

1.  **弱密钥长度（<1024bit）**
    
    密钥过短可被暴力破解，获取私钥后可任意签名。
    
    bash
    
    运行
    
    ```
    # 检查密钥长度命令
    dig TXT default._domainkey.target-company.com +short
    echo "公钥" | base64 -d > pubkey.der
    openssl rsa -pubin -in pubkey.der -text -noout
    ```
    
2.  **`h=`字段篡改攻击**
    
    签名未覆盖`From`头时，可篡改发件人且签名仍有效。
3.  **DKIM 重放攻击**
    
    *   注册合法域名并配置 SPF/DKIM/DMARC
    *   收取自身合法邮件，提取有效签名
    *   将签名复用至钓鱼邮件，修改收件人 / 正文
        
        原理：DKIM 默认不签名`To`字段，签名可复用。

* * *

## 三、DMARC（Domain-based Message Authentication）机制与绕过

### 3.1 DMARC 工作原理

DMARC 基于 SPF/DKIM，定义验证失败时的处理策略。

**DMARC DNS 记录格式**：

plaintext

```
_dmarc.company.com. IN TXT "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; pct=100; rua=mailto:dmarc@company.com"
```

**核心标签**：

*   `p=`：主策略；`sp=`：子域名策略
*   `adkim/aspf`：DKIM/SPF 对齐模式（s = 严格，r = 宽松）
*   `pct=`：策略应用百分比；`rua/ruf=`：报告接收地址

**对齐模式**：

*   严格：签名域名与 From 域名**完全一致**
*   宽松：签名域名与 From 域名**同组织**（子域名可通过）

### 3.2 DMARC 策略执行差异

*   `p=none`：仅监控，邮件正常投递（约 60% 企业使用）
*   `p=quarantine`：邮件入垃圾箱
*   `p=reject`：SMTP 层面拒绝，不进收件箱

### 3.3 DMARC 绕过手法

1.  **利用`p=none`域名**：任意伪造发件人，邮件不拒收
2.  **子域名遗漏**：旧服务器不继承主域名子域名策略，可伪造子域名发件
3.  **`pct < 100`利用**：部分邮件不执行拒绝策略，多发可绕过
4.  **DNS 污染 / 劫持**：篡改`_dmarc`记录为`p=none`

* * *

## 四、重磅技术：EchoSpoofing

### 4.1 技术定义

2025 年披露的新型邮件认证绕过技术，利用邮件安全网关**回显机制**，使钓鱼邮件携带合法 SPF/DKIM/DMARC 签名。

### 4.2 攻击原理

企业安全网关拦截恶意邮件后，会向发件人发送**拦截通知**，该通知由企业自身服务器发出，认证全通过。攻击者利用此机制，让网关 “代发” 合法钓鱼邮件。

### 4.3 完整攻击链

1.  构造特殊邮件，伪造企业发件人，嵌入恶意内容
2.  网关拦截，向指定地址发送拦截通知
3.  通知邮件携带攻击者嵌入的恶意内容，且认证全通过
4.  攻击者提取 / 转发通知邮件至目标，直达收件箱

### 4.4 受影响产品

表格

产品

受影响版本

修复状态

Proofpoint

<2025.04 规则库

已修复

Mimecast

<2025.06 规则库

已修复

Microsoft Defender

不受影响

—

Cisco ESA

部分配置

需手动修复

### 4.5 防御建议

*   更新网关规则库至最新
*   禁用拦截通知的原始邮件内容回显
*   启用严格 DMARC 策略，结合行为检测
*   监控异常拦截通知邮件

* * *

## 五、2026 年其他新型绕过技术

### 5.1 Google Workspace 试用域名滥用

*   注册相似域名，14 天免费试用配置合法认证
*   用 Google 高信誉服务器发信，试用期结束换号

### 5.2 Amazon SES 滥用

*   注册 AWS 账号，验证域名后用 SES 发信
*   SES IP 信誉极高，认证全通过，多账号绕过配额

### 5.3 SMTP 服务器 0day（CVE-2026-3187）

*   影响：Exim <4.96-3
*   修复：升级至 4.96-3 及以上版本

* * *

## 六、总结与下篇预告

### 核心总结

*   SPF 绕过：配置错误、DNS 查询超限、子域名遗漏、0day
*   DKIM 绕过：弱密钥、头字段篡改、重放攻击
*   DMARC 绕过：`p=none`、子域名、`pct`、DNS 劫持
*   EchoSpoofing：利用网关回显机制实现合法代发
*   新型手法：云邮件服务滥用、SMTP 0day

**安全数据**：正确配置三驾马车可降低 94% 伪造邮件成功率，但 61% 世界 500 强企业未完整配置。

### 下篇预告

深入武器化阶段 ——**VHD/ISO 镜像文件免杀技术**，内容包括：

*   VHD/ISO 格式结构与免杀原理
*   LNK 快捷方式构造技巧
*   LOLBins 载荷对比
*   镜像文件过网关率实测
*   宏免杀演进逻辑